Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

TOR mizéria

2011.10.25. 15:05 | buherator | 2 komment

 Reméltem, hogy nem jut el a magyar médiába a hír, mielőtt megjelennek a részletek...

A ESIEA francia kutatói felfedeztek és sikeresen kihasználtak néhány súlyos sérülékenységet a TOR hálózatban. A sérülékenységeket kihasználva készítettek egy listát a hálózatról benne 6000 géppel, melyek közül volta IPk amelyek publikusan elérhetőek voltak a rendszer forrásjódjával. A kutatók azt is bemutatták, hogyan lehetséges átvenni az irányítást a hálózat felett és elolvasni minden üzenetet, ami azon keresztül folyik.

Léteznek a rendszerben rejtett node-ok is, a Tor hidak (Tor Bridges), amelyeket bizonyos esetekben a rendszer biztosít. A kutatók arra is kidolgoztak egy módszert, hogy miként lehet ezeket a node-okat azonosítani. Összesen 181 ilyen rejtett node-ot találtak, feltérképezve ezzel a Tor teljes topológiáját.

A Tor Project blogposztban reagált a hírre. Ebben kiemelik, hogy részletek hiányában ők sem tudják pontosan megítélni a kutatás jelentőségét, de az már most látszik, hogy a francia kollegák téves feltevésekből kiindulva téves következtetésekre jutottak:

Először is a Tor hálózatban lévő relék száma nyilvános, általában 2500 körül mozog, ehhez nem kell semmilyen kutatás. Nem tudni, hogy az említett 6000 csomópont hogyan jött ki. A bridge-ek számát viszont sikerült jócskán alábecsülni: kb. 600 ilyen kiszolgáló van nyilvántartva jelenleg, így ha a felfedezett 181 állomás mindegyike valóban bridge, még akkor is messze van a teljes hálózat feltérképezése.

Az üzenetek elolvasását a kutatók egy demó hálózatban tesztelték. A kiinduló feltevés az volt, hogy a csomópontok egyharmada sebezhető, ezért ezek felett átvehető az irányítás (ezt minden bizonnyal nem ellenőrizték élesben). Amennyiben egy TOR útvonal összes gépét a támadó birtokolja, az átfolyó forgalom lehallgatható. Ehhez azonban meg kell oldani, hogy a forgalom a nem kompromittált hosztokról a kompromittáltak felé haladjon. Erre ugyan léteznek módszerek, mivel azonban a terheléselosztás a hálózatban kapacitás alapján történik, a támadó esélye a sikerre nem attól függ, hogy hány csomópontot, hanem hogy mekkora sávszélességet birtokol - a Tor Project közleménye szerint utóbbira szert tenni jóval nehezebb (logikus: kizárólag ritka, nagy kapacsitású relékből kell minél több diszjunkt utat kiépíteni).

A projekt a fentiektől függetlenül kíváncsian várja a részleteket, melyeket a Hackers to Hackers konferencián fognak prezentálni.

Jótanács: a thehackernews.com-ot ne tekintsétek megbízható hírforrásnak, általában fogalmatlan kiddie-k publikálnak rajta!

Frissítés: Itt megtekinthetők a lefotózott diák. Eddig nem fedeztem fel bennük újdonságot.

Címkék: tor anonimitás fud

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Tyra3l 2011.10.25. 15:23:29

meg kiemelnem a blogpostbol ezt a reszt:
"From there, the attack gets vague. The only hint we have is this nonsense sentence from the article:
The remaining flow can then be decrypted via a fully method of attack called "to clear unknown" based on statistical analysis.
Do they have a new attack on AES, or on OpenSSL's implementation of it, or on our use of OpenSSL? Or are they instead doing some sort of timing attack, where if you own the client's first hop and also the destination you can use statistics to confirm that the two flows are on the same circuit? There's a history of confused researchers proclaiming some sort of novel active attack when passive correlation attacks are much simpler and just as effective."

Tyrael

buherator · http://buhera.blog.hu 2011.10.25. 15:29:33

@Tyra3l: Erre az idézetre a saját nyugalmam megőrzése érdekében nem akartam kitérni :)